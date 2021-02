De afgelopen zes maanden is het aantal webservers besmet met webshells bijna verdubbeld ten opzichte van dezelfde periode een jaar eerder, zo stelt Microsoft op basis van eigen onderzoek. Van augustus 2019 tot en met januari 2020 detecteerde het techbedrijf gemiddeld 77.000 webshells per maand. Voor de afgelopen zes maanden staat de teller op een gemiddelde van 140.000 webshells per maand.

Een webshell is een script dat aanvallers op webservers plaatsen. Via de webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren. Vaak worden webshells voor verdere aanvallen ingezet. Om de webshell te kunnen installeren moet een aanvaller wel eerst toegang tot de webserver krijgen. Volgens Microsoft gebeurt dit vaak via kwetsbaarheden in webapplicaties en de servers zelf.

"Eenmaal geïnstalleerd op een server zijn webshells één van de meest doeltreffende manieren om toegang tot een onderneming te behouden", aldus Microsoft. Daarnaast kunnen ze lastig te detecteren zijn. Webapplicaties ondersteunen vaak een groot aantal talen en frameworks waar aanvallers misbruik van maken. De hoeveelheid verkeer en ruis door continue aanvallen zorgt er daarnaast voor dat het verkeer naar de webshell niet opvalt.

Om webshells buiten de deur te houden geeft Microsoft verschillende adviezen, zoals het meteen installeren van beveiligingsupdates als die uitkomen, het toepassen van netwerksegmentatie, auditen van webserverlogs, gebruik van antivirussoftware, het blokkeren van onnodige toegang tot services via de firewall en het beperken van het gebruik van accounts met lokale beheerder- of domeinbeheerderrechten.